• [^] # Corrigez moi si je fais une erreur

    Posté par . En réponse au journal Comment les banques font croire à la sécurité. Évalué à 6.

    * Enregistrement du mot de passe:
    Je vais sans dire quelque chose d'assez bête, mais le navigateur fait comment pour sauvegarder le mot de passe saisi dans le formulaire. Il doit savoir que l'on est sur telle URL, repère le nom des champs et rempli automatiquement le champ avec les données sauvegardée. Non ?

    Dans ce cas, pourquoi le nom de champ pour saisir le mot de passe est il identique à chaque fois ? N'est t il pas possible de nommer le champ différemment à chaque fois ?

    La technique employé par la SG permet effectivement de ne pas enregistrer le mot de passe, mais à quel prix ? Quid des mal-voyants, de ceux qui ne possèdent pas de souris... Je ne parle pas non plus de la compatibilité des naviguateurs pour faire fonctionner le javascript du pavé virtuel, de la charge supplémentaire du serveur web etc.



    * Sécurité apportée:
    Le mot de passe, bien que la connexion soit SSL, transit sans modification. Il n'y a aucun hashage du mot de passe avant envois(1).

    Le pseudo pavé pour saisir son code est fait comment ? Chaque clic sur un bouton du pavé rempli un champ de formulaire invisible ?
    La cinématique d'authentification du client n'est donc pas changé. Il n'y a pas plus de sécurité sur leur système en tant que tel.



    Ce n'est pas parce qu'en apparence cela parrait plus sécurisé que ça l'est forcément. C'est plus vendeur/marketeur mais techniquement ça n'apporte pas beaucoup de chose.

    1- Cela demande un traitement du style javascript, c'est vrai. Mais il y a déjà des tas de scripts javascript nécessaires pour l'utilisation du site web de la SG.